Превентивные мероприятия

Корректирующие меры

Постоянное совершенствование

Совершенствование СМИБ

Выходные данные проверки

Входные данные для проверки

Входные данные для проверки управления должны включать:

a) результаты аудитов и проверок СМИБ;

b) рекомендации заинтересованных сторон;

c) технику, продукты или методики, которые могли бы использоваться в организации, чтобы совершенствовать функционирование и эффективность СМИБ;

d) состояние превентивных и корректирующих мер;

e) уязвимости или угрозы, недостаточно исследованные при предыдущей оценке риска;

f) результаты оценки эффективности;

g) контроль принятия соответствующих мер после предыдущих проверок управления;

h) любые изменения, которые могут повлиять на СМИБ; и

i) рекомендации по совершенствованию.

Итоги проверки управления должны включать любые решения и меры, связанные со следующим.

a) Совершенствование эффективности СМИБ;

b) Обновление планов оценки и сокращения риска;

c) Модификация методов и средств управления, влияющих на информационную безопасность, как необходимость реагирования на внутренние и внешние события, которые могут принести ущерб СМИБ, а также изменения в:

1) требованиях бизнеса;

2) требованиях безопасности;

3) бизнес-процессах, влияющих на существующие требования бизнеса;

4) юридических или регулятивных требованиях;

5) договорных обязательствах; и

6) уровнях риска и/или критериях допустимости риска.

d) Приобретение необходимых ресурсов.

e) Совершенствование системы оценивания эффективности.

Организация должна постоянно совершенствовать эффективность СМИБ, привлекая к этому процессу политику информационной безопасности, цели информационной безопасности, результаты аудита, анализ отслеженных событий, корректирующие и превентивные мероприятия и проверки управления (см. 7).

Организация должна предпринимать меры по устранению причин несоответствия требованиям СМИБ, чтобы избежать повторения. Документированная процедура проведения корректирующих мероприятий должна содержать требования по:

a) выявлению несоответствий;

b) определению причин несоответствий;

c) оценке необходимости мер, устраняющих несоответствия;

d) определению и проведению необходимых корректирующих мероприятий;

e) записи результатов предпринятых мер (см. 4.3.3); и

f) проверке предпринятых корректирующих мер.

Организация должна определить меры, направленные на устранение причин возможного несоответствия требованиям СМИБ, чтобы предотвратить их повторение. Превентивные действия должны соответствовать ущербу от возможных ударов. Документированная процедура проведения превентивных мероприятий должна содержать требования по:

a) выявлению возможных несоответствий и их причин;

b) оценке необходимости действий, предотвращающих повторение несоответствий;

c) определению и проведению необходимых превентивных мероприятий;

d) записи результатов предпринятых мер (4.3.3); и

e) проверке предпринятых превентивных мер.

Организация должна выявить изменения в рисках и определить требования по превентивным действиям, акцентируя внимание на значительно измененных рисках.

Приоритеты превентивных мероприятий должны быть расставлены согласно результатам оценки риска.

ПРИМЕЧАНИЕ: Меры по предупреждению несоответствий часто более эффективны и дешевле обходятся, чем уже корректирующие мероприятия.

Приложение A

(нормативное)

Дата добавления: 2015-04-29; Просмотров: 1204; Нарушение авторских прав?; Мы поможем в написании вашей работы!